Upgrade to Pro — share decks privately, control downloads, hide ads and more …

webauthn_study_ritou.pdf

658c29959d8a9fd352afa440a5813137?s=47 ritou
October 28, 2019
Technology
3
810

 webauthn_study_ritou.pdf

2019/10/28 開催の #webauthn_study の発表資料です。
https://web-study.connpass.com/event/149833/

658c29959d8a9fd352afa440a5813137?s=128

ritou

October 28, 2019
Tweet

More Decks by ritou

See All by ritou
GNAP超入門 ~ IW2021 C15
658c29959d8a9fd352afa440a5813137?s=48 ritou
1
2k
OAuth 2.0仕様紹介 JAR, PAR, RAR @ iddance Lesson3
658c29959d8a9fd352afa440a5813137?s=48 ritou
1
630
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ 2021 / Identity Federation Protocols 2021
658c29959d8a9fd352afa440a5813137?s=48 ritou
3
5.8k
JWT Boot Camp 2020
658c29959d8a9fd352afa440a5813137?s=48 ritou
1
5.6k
iddance2_ritou.pdf
658c29959d8a9fd352afa440a5813137?s=48 ritou
1
3.4k
WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~ / builderscon tokyo 2019 ritou
658c29959d8a9fd352afa440a5813137?s=48 ritou
11
5.4k
コンシューマ向けサービスで使われている 認証認可仕様とデジタル署名 / saloff1-ritou
658c29959d8a9fd352afa440a5813137?s=48 ritou
1
930
Identity Dance School Lesson.1 / iddance_1_ritou
658c29959d8a9fd352afa440a5813137?s=48 ritou
1
280
WebAuthn @ DroidKaigi 2019
658c29959d8a9fd352afa440a5813137?s=48 ritou
5
3.4k

Other Decks in Technology

See All in Technology
CTOのためのQAのつくりかた #scrumniigata / SigSQA How to create QA for CTOs and VPoEs
63d1e567c2c7b1dbf340f7bea9a92876?s=48 caori_t
0
300
Puny to Powerful PostgreSQL Rails Apps
65e84915478a95a22dd40da712f304df?s=48 andyatkinson
PRO
0
340
Learning from AWS Customer Security Incidents [2022]
A431674e1b362e40786876211b77455e?s=48 ramimac
0
1.2k
[SRE NEXT 2022]メルカリグループにおけるSREs
667ad57b416187cb22589158805603b4?s=48 srenext
0
270
220521_SFN_品質文化試論と『LEADING QUALITY』/220521_SFN_Essay_of_Quality_Culture_and_LEADING_QUALITY
C8cde92274f0ca1ff9b046673d4f2d29?s=48 mkwrd
0
280
HTTP Session Architecture Pattern
484571ccba0db66b69dc11761afdd0c4?s=48 chiroito
1
400
Building smarter apps with machine learning, from magic to reality
7e6a435700dda6cdb22105d601f20892?s=48 picardparis
4
3.1k
我々はなぜテストをするのか?
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
PRO
0
530
GitHub 엔터프라이즈 어카운트 소개 및 엔터프라이즈 서버 구축 경험
330c5e37fb238d6b319ae6e18770f44b?s=48 posquit0
1
140
圧倒的成長をしながら急拡大してる開発組織が新卒採用やってみた
8847086af047cbf895ab3277b59529fe?s=48 andpad
0
160
インフラエンジニアBooks 30分でわかる「Dockerコンテナ開発・環境構築の基本」
7bcf6f29a0b9a348fe422a31a4f44752?s=48 cyberblack28
11
7k
Who owns the Service Level?
93c80c388fe9d8f9df7d030549a0ff0b?s=48 chaspy
5
1.1k

Featured

See All Featured
The Straight Up "How To Draw Better" Workshop
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
225
120k
Building Applications with DynamoDB
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
83
4.6k
How to train your dragon (web standard)
053e75a5b48b44d6dd0612795dfb326d?s=48 notwaldorf
57
3.8k
Clear Off the Table
Ef32e0b1ac5082450dc8c1fca3a26b5c?s=48 cherdarchuk
79
280k
How New CSS Is Changing Everything About Graphic Design on the Web
D83926c323d4f9289f947b4b4e76b939?s=48 jensimmons
212
11k
For a Future-Friendly Web
F68cb25ae3e5c2106997454b13b7737d?s=48 brad_frost
164
7.4k
Building Flexible Design Systems
91cefdf141106fa10674aae74ce05890?s=48 yeseniaperezcruz
310
33k
ReactJS: Keep Simple. Everything can be a component!
Af6a12710770ad9a7cfd08c97efd40d3?s=48 pedronauck
655
120k
Rebuilding a faster, lazier Slack
C0b42577cfc2b321be3474618107e933?s=48 samanthasiow
62
7.2k
Designing the Hi-DPI Web
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
272
32k
Rails Girls Zürich Keynote
24fc194843a71f10949be18d5a692682?s=48 gr2m
86
12k
The Most Common Mistakes in Cover Letters
1ce0eb06fd6a9e9566a0cb310cfee635?s=48 jrick
PRO
4
24k

Transcript

  1. WebAuthnの導入事例から見る 定石と今後の課題 @ritou #webauthn_study 2019/10/28

  2. @ritou

  3. 本日の内容 •事例から導入のポイントを整理 •2段階/2要素としての導入 •「パスワードレス」としての導入 •GOAL:不安になりそうな部分を認識し て導入に向けた一歩を踏み出す

  4. 2段階/2要素としての導入

  5. の前に、リカバリーの話

  6. by 誰か “FIDOはリカバリーが課題だよね”

  7. アカウントリカバリー •利用不可能になったクレデンシャルの無効 化&再設定 •パスワード •TOTP(Secret) •リカバリーコード •Authenticator(PublicKey) •別の認証方式 or 複数登録

    に収束

  8. パスワード認証における リカバリー •忘れた •別の認証方式 + 再設定 •利用できない環境 •覚えてればあらゆる環境で利用可能

  9. SMS/Emailへ通知における リカバリー •番号、メアドが変わった •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式

  10. TOTPにおける リカバリー •手元の端末の設定消した、落とした •別の認証方式 + 無効化/再設定 •一時的に利用できない環境、状況 •別の認証方式

  11. リカバリーコードの リカバリー(?) •紛失、盗難 •別の認証方式 + 無効化/再発行 •一時的に利用できない環境、状況 •別の認証方式

  12. FIDOにおける リカバリー •紛失、盗難 •別の認証方式もしくは複数登録可能 にして無効化/再設定 •利用できない環境 •別の認証方式

  13. リカバリーは それほど問題ではない

  14. (改めて) 2段階/2要素としての導入

  15. 導入事例 •Google, Github… •パスワード認証との組み合わせ •間違っても単一要素で通さない

  16. どこに手を入れるか •アカウント設定 •認証 •再認証 •(2段階/2要素が必須でない限りは)新 規登録の対応は任意

  17. アカウント設定 •追加認証を有効にする •リカバリー設定 : 別の認証方式を用意 •SMS/Emailによる通知 •リカバリーコード設定 •Authenticator(PublicKey)設定 •名前をつけるタイミング?

  18. アカウント設定 (Github)

  19. 認証 •パスワード認証+追加認証を要求 •複数ある場合に優先する認証方式? •設定やWebAuthnの利用可否で分岐? •別の認証方式への切り替え •スキップ機能 = Cookieの所持認証?

  20. 認証(Github)

  21. 再認証 •例 : Github •「パスワード確認」していたところ に WebAuthn が利用可能

  22. 再認証(Github)

  23. 検討事項

  24. (検討事項) リカバリー用の認証方式 •海外サービスでは最低でも2つは用意 している模様 •SMS •リカバリーコード •カスタマーサポートの負担が決まる

  25. (検討事項) 利用可能な環境の制限 •制限する場合は管理が必要 •User-Agent •Platform or Cross-platform •Attestation

  26. (検討事項) 追加認証要求のタイミング •パスワード認証「成功」したら要求 •パスワード認証結果に関わらず要求 •パスワード認証前に要求

  27. まとめ •アカウント設定のあたりは定石と呼 べるものができており、環境を縛る かどうかぐらいか •認証部分はまだ考慮すべき点がある かも?

  28. パスワードレスとしての導入

  29. 2段階/2要素に比べて なんとなく不安?

  30. やはりリカバリー?

  31. (あなたの思う) パスワードレスとは? •パスワードを使わない •所持 or 生体 or 記憶(ローカル?) •FIDO UP(UserPresent)はNG?

    •FIDO UV(UserVerified)相当 •所持 + (記憶 or 生体)

  32. パスワードを使わない •単一要素の認証方式とFIDO UVの組み 合わせ •SMS/Email/Pushへの通知 •ソーシャルログイン •緩いとこに攻撃を受ける覚悟が必要

  33. FIDO UV相当 •複数要素の認証方式が必要 •それがなかったからFIDOなんだろ? •他のサービスで2段階/2要素してる IdPとのID連携? •IdPがMFAを保証してくれたら使え そう -> OpenID

    Connect!

  34. どこに手を入れるか •アカウント設定 •認証 •再認証 •新規登録(FIDO必須な場合)

  35. 検討事項

  36. (検討事項) Resident Keyの利用 •サービスのユーザー識別を先にする かどうか •メアドやSMSを入れる手間を減らせ るか? •RK非対応環境ではどうする?

  37. RedidentKey利用アリ (Microsoft)

  38. RedidentKey利用ナシ (Y!J)

  39. (検討事項) 新規登録フロー、リカバリー •リカバリー考慮して効率的に2種類 の認証方式を設定するには? •新規登録も要件の分解が必要 •連絡先、属性情報、クレデンシャル •#iddance でやるよ

  40. まとめ •リカバリー用に別の認証方式は必要 •サービスが必要とする認証要素によ り、実装に幅が出そう •新規登録フローについてはまだ手本 となるサービスはなさそう

  41. 終わり •質問などは @ritou までください •11/1(金)に #iddance やります